SlideShare una empresa de Scribd logo

ISO 27001 Seguridad Informática

Billy varon -cun
Billy varon -cun

seguridad informatica

Tecnología
1 de 126
Descargar para leer sin conexión
SEGURIDAD INFORMÁTICA Y NORMA ISO 27001 PRESENTADO POR: Billy Anderson Varón Moreno PARA : NESTOR PINZON
Introducción La seguridad, protección de los equipos conectados en red y de los datos que almacenan y comparten, es un hecho muy importante en la interconexión de equipos. Cuanto más grande sea una empresa, más importante será la necesidad de seguridad en la red. Nuestro interés va más allá del hecho de los procedimientos para compartir. En realidad se ve compartir recursos desde la perspectiva de establecer y mantener la seguridad en la red y en los datos. La seguridad es bastante más que evitar accesos no autorizados a los equipos y a sus datos. Incluye el mantenimiento del entorno físico apropiado que permita un funcionamiento correcto de la red.
Seguridad Informática La necesidad de la seguridad informática En la actualidad la información es el objeto de mayor valor para las empresas. El progreso de la informática y de las redes de comunicación nos presenta un nuevo escenario, donde los objetos del mundo real están representados por bits y bytes, que ocupan lugar en otra dimensión y poseen formas diferentes de las originales, no dejando de tener el mismo valor que sus objetos reales, y, en muchos casos, llegando a tener un valor superior.
Seguridad Informática Por esto y otros motivos, la seguridad de la información es un asunto tan importante para todos, pues afecta directamente a los negocios de una empresa o de un individuo. La seguridad de la información tiene como propósito proteger la información registrada, independientemente del lugar en que se localice: Impresos en papel, Discos duros de las computadoras o incluso en la memoria de las personas que la conocen.
Seguridad Informática  Funciones y Responsabilidades de la Seguridad Informática … una de las preocupaciones de la seguridad de la información es proteger los elementos que forman parte de la comunicación. Así, para empezar, es necesario identificar los elementos que la seguridad de la información busca proteger:  La información  Los equipos que la soportan  Las personas que la utilizan
Seguridad Informática  Responsabilidades en el manejo de la información En la actualidad, la seguridad informática ha adquirido gran auge, dadas las cambiantes condiciones y las nuevas plataformas de computación disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes que permiten explorar más allá de las fronteras de la organización. Esta situación ha llevado a la aparición de nuevas amenazas en los sistemas computarizados.
Seguridad Informática Consecuentemente, muchas organizaciones gubernamentales y no gubernamentales internacionales han desarrollado documentos y directrices que orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones con el objeto de obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la mismas. Esto puede ocasionar serios problemas en los bienes y servicios de las empresas en el mundo.
Seguridad Informática  Atributos y clasificación de la información Proteger la información significa mantenerla segura contra amenazas que puedan afectar su funcionalidad:  Corrompiéndola,  Accediéndola indebidamente, o incluso  Eliminándola o hurtándola.
Seguridad Informática En un reciente estudio de Datapro Research Corp. se resumía que los problemas de seguridad en sistemas basados en redes responde a la siguiente distribución:  Errores de los empleados 50%  Empleados deshonestos 15%  Empleados descuidados 15%  Otros 20% (Intrusos ajenos a la Empresa 10%; Integridad física de instalaciones 10% )
Seguridad Informática Se puede notar que el 80% de los problemas, son generados por los empleados de la organización, y, éstos se podrían tipificar en tres grandes grupos:  Problemas por ignorancia  Problemas por haraganería  Problemas por malicia Entre estas razones, la ignorancia es la más fácil de corregir. Desarrollando tácticas de entrenamiento y procedimientos formales e informales son fácilmente neutralizadas. Los usuarios, además, necesitan de tiempo en tiempo, que se les recuerden cosas que ellos deberían conocer.
Seguridad Informática La forma de instrumentar la confidencialidad de la información es a través del establecimiento del grado de sigilo: Grado de sigilo: La información generada por las personas tiene un fin específico y se destina a un individuo o grupo. Por lo tanto, la información necesita una clasificación en lo que se refiere a su confidencialidad. Es lo que denominamos grado de sigilo, que es una graduación atribuida a cada tipo de información, con base en el grupo de usuarios que poseen permisos de acceso.
Seguridad Informática Dependiendo del tipo de información y del público para el cual se desea colocar a disposición los grados de sigilo podrán ser:  Confidencial  Secreto  Restrictivo  Sigiloso  Público
Seguridad Informática  Conceptos básicos de la seguridad informática Confidencialidad Integridad Autenticidad No Repudio Disponibilidad de los recursos y de la información Consistencia Control de Acceso Auditoria
Seguridad Informática  Confidencialidad Consiste en proteger la información contra la lectura no autorizada explícitamente. Incluye no sólo la protección de la información en su totalidad, sino también las piezas individuales que pueden ser utilizadas para inferir otros elementos de información confidencial.
Seguridad Informática  Que la información sea accesible solamente a las entidades que tienen derecho a ella, tanto para leerla, imprimirla, desplegarla o para cualquier otra forma de divulgación de la misma.  Transformar la información de tal forma que solo sea entendible o utilizable por aquellas entidades para las que fue creada.
Seguridad Informática  Integridad Es necesario proteger la información contra la modificación sin el permiso del dueño. La información a ser protegida incluye no sólo la que está almacenada directamente en los sistemas de cómputo sino que también se deben considerar elementos menos obvios como respaldos, documentación, registros de contabilidad del sistema, tránsito en una red, etc. Esto comprende cualquier tipo de modificaciones:
Seguridad Informática  Que la información no sea destruida y/o modificada, mas que por los usuarios y mecanismos autorizados para ello.  La información no debe modificarse o destruirse ni en los sistemas de procesamiento ni al ser transmitida por algún medio de comunicación.
Seguridad Informática Esto comprende cualquier tipo de modificaciones:  Causadas por errores de hardware y/o software.  Causadas de forma intencional.  Causadas de forma accidental Cuando se trabaja con una red, se debe comprobar que los datos no fueron modificados durante su transferencia.
Seguridad Informática  Autenticidad La autenticidad garantiza que quien dice ser "X" es realmente "X". Es decir, se deben implementar mecanismos para verificar quién está enviando la información. Que el origen de la información sea correctamente identificado, asegurando que la identidad no es falsa.
Seguridad Informática  Los usuarios deben de poder probar que realmente son quien dicen ser….  Tipos de autenticación:  Por factores:  De un factor: Algo que yo se.  De dos factores: Algo que yo se y algo que yo tengo.  De tres factores: Algo que yo se, algo que yo tengo y algo que yo soy *.  *Algo que yo hago
Seguridad Informática  No – repudio Ni el origen ni el destino en un mensaje deben poder negar la transmisión. Quien envía el mensaje puede probar que, en efecto, el mensaje fue enviado y viceversa.
Seguridad Informática Que las parte involucradas en un proceso de intercambio de información puedan probar la participación de su contraparte de forma inequívoca, así como puedan probar su propia participación en dicho intercambio. Tener los medios para probarle a alguien que hizo algo dentro de un sistema o con cierta información.
Seguridad Informática  Disponibilidad de los recursos y de la información De nada sirve la información si se encuentra intacta en el sistema pero los usuarios no pueden acceder a ella. Por tanto, se deben proteger los servicios de cómputo de manera que no se degraden o dejen de estar disponibles a los usuarios de forma no autorizada. La disponibilidad también se entiende como la capacidad de un sistema para recuperarse rápidamente en caso de algún problema.
Seguridad Informática Que se garantice la disponibilidad de los recursos informáticos cuando se requieran y por consecuencia de la información contenida en estos recursos. La información debe estar disponible siempre, de acuerdo a las reglas establecidas de antemano para su uso.
Seguridad Informática  Consistencia Se trata de asegurar que el sistema siempre se comporte de la forma esperada, de tal manera que los usuarios no encuentren variantes inesperadas.
Seguridad Informática  Control de acceso a los recursos Consiste en controlar quién utiliza el sistema o cualquiera de los recursos que ofrece y cómo lo hace. Tipos de control de acceso:  Discrecional (DAC): la validez del método de autenticación esta a discreción del usuario.  Mandatorio (MAC): se validan aspectos sobre los cuales el usuario no tiene control.
Seguridad Informática  Autorización Que un usuario tenga acceso solamente a la información que le corresponde una vez que tiene acceso aun sistema o a una red de sistemas de acuerdo a sus privilegios y restricciones.
Seguridad Informática  Auditoria Consiste en contar con los mecanismos para poder determinar qué es lo que sucede en el sistema, qué es lo que hace cada uno de los usuarios y los tiempos y fechas de dichas acciones. En cuanto a los dos últimos puntos resulta de extrema importancia, cuando se trata de los derechos de los usuarios, diferenciar entre “espiar” y “monitorear” a los mismos. La ética es algo que todo buen administrador debe conocer y poseer.
Seguridad Informática  Finalmente, todos estos servicios de seguridad deben ser tomados en cuenta en el momento de elaborar las políticas y procedimientos de una organización para evitar pasar por alto cuestiones importantes como las que señalan dichos servicios.  De esta manera, es posible sentar de forma concreta y clara los derechos y límites de usuarios y administradores.  Sin embargo antes de realizar cualquier acción para lograr garantizar estos servicios, es necesario asegurarnos de que los usuarios conozcan sus derechos y obligaciones.
Seguridad en redes  Implantación de la seguridad en redes  La planificación de la seguridad es un elemento importante en el diseño de una red.  Es mucho más sencillo implementar una red segura a partir de un plan, que recuperar los datos perdidos.
Introducción a la criptografía  Criptografía: Ciencia que se dedica a mantener las comunicaciones seguras.  Criptoanálisis: ciencia y arte que analiza la forma de romper los algoritmos criptográficos.
Introducción a la criptografía  Cifrado: transformación de datos en alguna forma que los hace ilegibles si no se cuenta con la “llave”.  Criptología: Rama de las matemáticas que incluye a la criptografía y al criptoanálisis.
Terminología  Texto claro: Datos, información legible.  Texto cifrado (Ciphertext): Datos que han sido cifrados.
Terminología  Decripción: Proceso que convierte el texto cifrado en texto claro.  Algoritmo criptográfico (Cipher): función matemática utilizada para cifrar y descifrar información.
Cifrado Simétrico  La llave de cifrado y la de descifrado son iguales o la llave de descifrado se puede derivar de la de cifrado.  Conocidos como algoritmos de llave secreta o privada.  El emisor y el receptor comparten la misma llave.  Ejemplos: DES, 3DES, RC2, RC5, IDEA, Skipjack.
El problema de la distribución de llaves  ¿Como asegurar que la llave es distribuida de forma segura a todos los participantes en una comunicación?.  Para n usuarios se requieren n(n-1)/2 llaves diferentes.  Si se compromete la llave, toda la comunicación está en peligro.
Cifrado asimétrico  La llave utilizada para cifrar el mensaje es diferente a la utilizada para descifrarlo.  Conocidos como de llave pública.  Ambas llaves están matemáticamente relacionadas.  Su seguridad radica en la dificultad para obtener una llave a partir de la otra.  Están basados en problemas matemáticos complejos: Factorización de números grandes primos, Logaritmos discretos, Curvas elípticas.
Algoritmos asimétricos y la distribución de las llaves  Se genera un par de llaves.  Una se mantiene de forma privada.  La otra se hace del conocimiento de todos.  Alguien que quiera mandar un mensaje al dueño de las llaves la cifra con la llave pública, y el dueño de las llaves la descifra con la llave privada.
Autenticación con cifrado asimétrico  Si cifro con mi llave privada, cualquiera puede descifrar el mensaje con mi llave pública y así pueden estar seguros de que fui yo quien mandó el mensaje.  Este es el principio de las firmas digitales.
Tipos de Algoritmos de cifrado 40  Por el tipo de llave:  Simétricos. Se utiliza la misma llave para cifrar y descifrar (llave privada)  Asimétricos. Se utilizan llaves diferentes para cifrar y descifrar (llave pública)
Tipos de Algoritmos de cifrado 41
Encripción Privada 42  Bases:  Utiliza la misma llave para cifrado y descifrado  Se basa en una llave secreta  Ventajas  Sencillo y Rápido  Desventajas  Se basa en un secreto  Ejemplos  DES, Lucifer, RC4
El nacimiento de DES 43  En 1972, el gobierno de EUA empezó un esfuerzo para el desarrollo de un estándar de cifrado que tuviera las siguientes características:  Alto nivel de seguridad  Completamente especificado y fácil de entender  La seguridad del algoritmo no debe de basarse en la confidencialidad del algoritmo.  Debe estar disponible para cualquier usuario  Debe de poderse usar en diversas aplicaciones  Debe de ser barato  Debe de ser validable  Debe de ser exportable
DES 44  Digital Encryption Standard  Esfuerzo coordinado por NBS y NSA en EUA  National Bureau of Standards  National Security Agency  Basado en Lucifer desarrollado por IBM  Lucifer usaba llaves de 128 bits  Se creo DES con llaves de 56 bits  Se aprobó por el departamento de comercio de EUA en 1976 y se público  Basado en operaciones manipulación de bits
DES y su evolución 45  Ha estado en uso por más de 20 años  Se puede romper pero toma tiempo  EUA solo permite la exportación de DES con llaves de 40 bits, las cuales se pueden romper facilmente  Ahora está en proceso la aprobación para exportación de DES 56.  Tripple DES  Nace RC4, que es más eficiente
DES y su evolución 46  Conventional Encryption
DES y su evolución 47  Tripple DES
Cifrado Pública 48  Bases:  Utiliza distintas llaves para cifrar y descifrar  Se basa en factorización de números primos muy grandes  Ventajas  Altamente seguro  Desventajas  Es más lento, la distribución de llaves no es trivial  Ejemplos  RSA, Diffie-Hellman
RSA 49  Rivest, Shamir, and Adleman
RSA  Inventado por Ron Rivest, Adi Shamir y Leonard Adleman en 1977.  Basado en la factorización de números primos muy grandes.  En Hardware RSA es 1000 veces más lento que DES y en software 100 veces más lento.  Estándar de-facto para cifrado de llave pública.  La patente (E. U.) expira el 20 de Septiembre de 2000.
Algoritmo de RSA 51  Se escogen 2 números primos (p y q) muy grandes n=pq  Se escoge una llave de cifrado de forma tal que e y (p-1) (q-1) son relativamente primos ed = 1 mod (p-1)(q-1) d=e^-1 mod ((p-1)(q-1))  De esta forma e y n son la llave pública, d es la llave privada, p y q solo se necesitan para la generación de llaves
Llaves públicas 52  El problema: Creación y distribución de llave  ¿Quién las crea?  ¿Cómo sabes si la persona correcta las creo?  Si yo te envío mi llave pública a través de correo electrónico, ¿estas seguro de que fui yo?
Creación y Distribución de llaves 53  Autoridad certificadora  Puntos de confianza  Verisign en EUA  ¿y en México?  Banco de México  Bancos  Notarias  ¿Quién?
Intercambio de llaves privadas 54  Llaves de sesión  Utilizamos Diffie-Hellman  Algoritmo de criptografía  Criptografía pública  Creado por Diffie y Hellman  1976  Sencillo
Diffie - Hellman  Usuario A  Selecciona un entero grande x, y le manda a B esto: X = g^x mod n  A calcula:  k = Y^x mod n  Usuario B  Selecciona un entero grande y y lo manda a A esto: Y = g^y mod n  B calcula:  k’ = X^y mod n 55 Ambas k y k’ son igual a g^(xy) mod n. Nadie en medio de la comunicación puede calcular ese valor. k es la llave secreta o de sesión que ambas partes usan Ambos A y B, acuerdan en dos números primos grandes n y g. Estos números son secretos.
Herramientas de Seguridad.  Firewalls.  Single Sign On.  Detección de Intrusión.  PKI.  SSL.  SET.
Criptosistemas Híbridos  Los algoritmos asimétricos son lentos en comparación con los simétricos.  Los algoritmos simétricos son vulnerables a ataques de “texto claro elegido”.  Las implementaciones prácticas utilizan algoritmos de llave publica para distribuir y proteger las llaves y algoritmos de llave simétrica para asegurar (cifrar) el tráfico de los mensajes.
Niveles de Ataque  Sólo texto cifrado El atacante posee uno o más textos cifrados  Texto claro conocido El atacante posee uno o más textos cifrados y sus textos claros  Texto claro elegido El atacante puede elegir textos claros y conocer sus textos cifrados  Texto cifrado elegido El atacante puede elegir textos cifrados y conocer sus textos claros
Algoritmos seguros de “Hash”  También conocidos como:  Digest de mensajes  Checksum criptográfico  Huella digital del mensaje  Checksum para integridad del mensaje.  Propiedades:  Es fácil generar un hash a partir de un mensaje.  Es difícil determinar el mensaje en base a un hash determinado.  Es difícil obtener el mismo hash de dos mensajes diferentes.  Algoritmos populares de hash: MD5, SHA.
Firmas Digitales  Generación:  Se procesa el mensaje con una función de Hash para generar una digestión del mensaje.  Se cifra (firma) el mensaje con la llave pública.  Se envía el mensaje firmado (mensaje y firma juntos).  Obtención del mensaje:
Firmas Digitales  El más popular: DSA (Digital Signature Algorithm.  Utiliza SHA (Secure Hash Algoritm), parte del estándar DSS (Digital Signature Standar), llaves desde 512 hasta 1024 bits, estándar federal 1994.  Problemas:  No sirve para distribución de llaves.  El NSA le pudo haber puesto un “trap door”.  Llaves demasiado pequeñas.  Más lento que RSA.
Requerimiento Base de Datos Sistema Operativo Red Confidencialidad Si Si Autentificación Si Si Integridad Si No-repudiación Si Si Control de Acceso Si Si Si Autorización Si Disponibilidad Si Si Requerimientos de Seguridad
Implementación Requerimiento Implementado mediante Confidencialidad SSL y contraseña de acceso Autentificación Contraseña de acceso Integridad Permisos en la base de datos No-repudiación Bitacoras de acceso Control de Acceso Políticas de seguridad Autorización Permisos en la base de datos Disponibilidad SSL e implementación en Web
Implementación “Segura” Requerimiento Implemención mediante Confidencialidad SSL y contraseña de acceso Autentificación Certificados digitales Integridad Permisos en la base de datos. No-repudiación Firma y certificado digital Control de Acceso Certificados digitales y políticas de seguridad Autorización Permisos en la base de datos Disponibilidad VPN y enlaces punto a punto
Ejemplo de Aplicación de Web normal Internet ISP Bienvenido WEB SERVER Servidor de Web Seguro FW Información
Solicitud de certificación del servidor Internet ISP WEB SERVER Solicitud de certificación Autoridad Certificadora.
Solicitud de certificación del cliente Internet ISP CLIENTE Solicitud de certificación Autoridad Certificadora.
Ejemplo de aplicación con llave pública Internet ISP WEB SERVER FW Información ¿Quien es? Yo soy X Bienvenido X Solicitud servicio Autoridad Certificadora.
Aplicaciones de los esquemas de llave pública.  SSL (Secure Socket Layer).  SET (Secure Electronic Transactions).  Se les conoce como Infraestructuras de Llave Pública.
Componentes de una Infraestructura de Llave Pública.  Autoridad Certificadora.  Autoridad Registradora.  Esquema de cifrado.  Certificados digitales.  Uno o dos pares de llaves (uno para cada participante en la comunicación).
SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION Y NORMA ISO 27001 Normas Técnicas: BS 7799-2:2002 (Certificable). ISO 17799:2005 (No Certificable). ISO 27001:2005 (Certificable).
ANTECEDENTES ¿ Qué es una Norma ?  Una norma es una especificación técnica  Elaborada con participación de todos los sectores involucrados  Aprobada por consenso  Su objetivo es el beneficio a la comunidad  Está a disposición de todos los interesados  Es elaborada y publicada por un organismo de normalización reconocido
ANTECEDENTES Department of Trade & Industry Ministerio de Comercio y de la industria del Reino Unido. Es el administrador del comercio, negocios, empleados, consumidores, ciencia, energía en el Reino Unido y está trabajando para crear las condiciones de éxito en los negocios del Reino Unido en el desafío de la globalización. www.dti.gov.uk
ANTECEDENTES British Standard Institution Fundada en 1901 como el comité de estándares de la ingeniería. Los estándares británicos del bsi son el cuerpo nacional de los estándares del reino unido, con una reputación global reconocida para la independencia, la integridad y la innovación en la producción de los estándares que promueven la mejor práctica. Desarrolla y vende estándares y soluciones de la estandardización para resolver las necesidades del negocio y de la sociedad. • Certifica sistemas y productos de gerencia • Proporciona servicios de la comprobación del producto • Desarrolla estándares privados, nacionales e internacionales • Proporciona el entrenamiento en estándares • Proporciona soluciones de software www.bsi-global.com
ANTECEDENTES Organización Internacional para la Estandarización Organización internacional no gubernamental, compuesta por representantes de los organismos de normalización (ONs) nacionales, que produce normas internacionales industriales y comerciales (normas ISO ). Su finalidad es la coordinación de las normas nacionales, en consonancia con el Acta Final de la Organización Mundial del Comercio, con el propósito de facilitar el comercio, el intercambio de información y contribuir con unos estándares comunes para el desarrollo y transferencia de tecnologías.
¿Qué es ISO 27000? Es una familia de estándares internacionales para Sistemas de Gestión de la Seguridad de la Información (SGSI).  Requisitos para la especificación de sistemas de gestión de la seguridad de la información  Proceso del análisis y gestión del riesgo  Métricas y medidas de protección  Guías de implantación  Vocabulario claramente definido para evitar distintas interpretaciones de conceptos técnicos y de gestión y mejora continua.
La Familia Norma ISO 27000 (1)  ISO 27000 En fase de desarrollo. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión.  ISO 27001 Es la norma principal de requerimientos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual serán certificados por auditores externos los SGSI de las organizaciones. Fue publicada el 15 de Octubre de 2005 y sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última.  ISO 27002 (ISO 17799) Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Será la sustituta de la ISO17799:2005.
La Familia ISO 27000 (2)  ISO 27003 Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2.  ISO 27004 Especificará las métricas y las técnicas de medida aplicables para determinar la eficiencia y efectividad de la implantación de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.  ISO 27005 Consistirá en una guía para la gestión del riesgo de la seguridad de la información y servirá, por tanto, de apoyo a la ISO27001 y a la implantación de un SGSI. Se basará en la BS7799-3 (publicada en Marzo de 2006) y, probablemente, en ISO 13335.  ISO 27006 Especificará el proceso de acreditación de entidades de certificación y el registro de SGSIs.
Evolución de la Norma ISO/IEC 27001 Video
Sistema de Gestión de la Seguridad de la Información Norma ISO/IEC 27001 Es la norma que define los requisitos para establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) documentado dentro del contexto de los riesgos del negocio. S G S I
Norma ISO/IEC 27001 Esta norma la pueden usar para:  Evaluar la capacidad de una organización (requisitos).  Aplicación de un sistema de procesos dentro de la organización.  Comprender los requisitos de la seguridad de la información.  Implementar y operar controles en la gestión del riesgo.  Administración del SGSI.  Mejora continua basada en la medición de objetivos. Esta norma puede ser aplicada a todas las organizaciones, independientemente de su tipo, tamaño y naturaleza.
Norma ISO/IEC 27001 ¿Qué es un SGSI? ISMS - Information Security Management System. Un sistema de gestión de la seguridad de la información (SGSI) es una forma sistemática de abordar la gestión de la información empresarial para protegerla. Atañe a las personas, los procesos y los sistemas informáticos. Es un proceso documentado y conocido por toda la organización para garantizar que la seguridad de la información es gestionada correctamente. (ISO 9001). La seguridad de la información consiste en preservar:  Confidencialidad: acceso únicamente por autorizados.  Integridad: exactitud y completitud.  Disponibilidad: acceso de los usuarios autorizados cuando lo requieran.  Los sistemas implicados en el tratamiento de la información. Información: escrita, diagramas, electrónica, imágenes o incluso oral.
¿Para qué sirve un SGSI? Conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante un sistema definido, documentado y conocido por todos, que se revisa y actualiza constantemente.
¿Para qué sirve un SGSI? Captura de PC desde el exterior Violación de e-mails Violación de contraseñas Interrupción de los servicios Intercepción y modificación de e-mails Virus Fraudes informáticos Incumplimiento de leyes y regulaciones Robo o extravío de notebooks empleados deshonestos Robo de información Destrucción de soportes documentales Acceso clandestino a redes Intercepción de comunicaciones Destrucción de equipamiento Programas “bomba” Acceso indebido a documentos impresos Software ilegal Agujeros de seguridad de redes conectadas Falsificación de información para terceros Indisponibilidad de información clave Spamming Violación de la privacidad de los empleados Ingeniería social Principales riesgos Propiedad de la Información Mails “anónimos” con información crítica o con agresiones
CONTENIDO DE LA NORMA 1. Objeto 2. Referencias Normativas 3. Términos y Definiciones 4. Sistema de Gestión de la Seguridad de la Información 5. Responsabilidad de la Dirección 6. Revisión del SGSI por la Dirección 7. Mejora del SGSI. Anexo A Objetivos de Control y Controles. Anexo B Guía para el uso de la Norma. Anexo C Correspondencia entre ISO9001 - ISO14001 – BS7799-2. Norma ISO/IEC 27001
4. Sistema de Gestión de la Seguridad de la Información EL MODELO PDCA – PHVA aplicado al SGSI 1. Plan (planificar): establecer el SGSI. 2. Do (hacer): implementar y utilizar el SGSI. 3. Check (verificar): monitorizar y revisar el SGSI. 4. Act (actuar): mantener y mejorar el SGSI. RC Resumen de Controles - DA Declaración de Aplicabilidad Requisitos de Seguridad de la Información Resultados de la Seguridad de la Información
4.1. REQUISITOS GENERALES La organización debe: Desarrollar, implementar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) documentado dentro del contexto de los riesgos del negocio.
FLUJOGRAMA PARA EL ESTABLECIMIENTO DE UN SGSI
4.2.1. ESTABLECIMIENTO Y GESTIÓN DEL SGSI
4.2.1. ESTABLECIMIENTO Y GESTIÓN DEL SGSI (1)
4.2.1. ESTABLECIMIENTO Y GESTIÓN DEL SGSI (2)
4.2.1. ESTABLECIMIENTO Y GESTIÓN DEL SGSI (3)
4.2.1. ESTABLECIMIENTO Y GESTIÓN DEL SGSI (4)
EJEMPLO DE POLITICA DE SEGURIDAD (1) Numeral de la NTC-ISO/IEC 17799 A.3.1 Política de seguridad de la información , 3.1 Objetivo de control: brindar orientación y apoyo de la dirección para la seguridad de la información. .Contro/es A.3.1.1 Documento de la política de La Dirección debe aprobar, publicar y 3.1.1 seguridad de la información. comunicar a todos los empleados, en la forma adecuada, un documento de política de sequridad de la información. A.3.1.2 Revisión y evaluación. Se debe revisar regularmente la política, y 3.1.2 en caso de cambios que tengan influencia, se debe asegurar que ésta sigue siendo apropiada. A.3 POLÍTICA DE SEGURIDAD
4.2.2 IMPLEMENTACIÓN Y OPERACIÓN DEL SGSI Anexo A
4.2.2 IMPLEMENTACIÓN Y OPERACIÓN DEL SGSI (1)
4.2.2 IMPLEMENTACIÓN Y OPERACIÓN DEL SGSI (2)
4.2.3. SEGUIMIENTO Y REVISIÓN DEL SGSI
4.2.3. SEGUIMIENTO Y REVISIÓN DEL SGSI (1)
4.2.3. SEGUIMIENTO Y REVISIÓN DEL SGSI (2)
4.2.4. MANTENER Y MEJORAR EL SGSI
4.2.4. MANTENER Y MEJORAR EL SGSI (1)
REQUISITOS DE DOCUMENTACION (1)
REQUISITOS DE DOCUMENTACION (2)
REQUISITOS DE DOCUMENTACION (3)
RESPONSABILIDAD DE LA DIRECCION (1)
RESPONSABILIDAD DE LA DIRECCION (2)
AUDITORIA INTERNA DEL SGSI (1)
MONITOREO DEL SGSI POR LA DIRECCION (1)
MONITOREO DEL SGSI POR LA DIRECCION (2)
MEJORA DEL SGSI (1)
OBJETIVOS DE CONTROL Y CONTROLES Anexo Nº 1
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL Y CONTROLES
CONTROLES DE CADA OBJETIVO DE CONTROL (1)
CONTROLES DE CADA OBJETIVO DE CONTROL (2)
CONTROLES DE CADA OBJETIVO DE CONTROL (3)
CONTROLES DE CADA OBJETIVO DE CONTROL (4)
CONTROLES DE CADA OBJETIVO DE CONTROL (5)
CONTROLES DE CADA OBJETIVO DE CONTROL (6)
CONTROLES DE CADA OBJETIVO DE CONTROL (7)
CONTROLES DE CADA OBJETIVO DE CONTROL (8)
CONTROLES DE CADA OBJETIVO DE CONTROL (9)
BENEFICIOS DE UN SGSI
CONCLUSIONES FUNDAMENTALES

Recomendados

Contingencia Informatica
Contingencia InformaticaContingencia Informatica
Contingencia InformaticaFernando Alfonso Casas De la Torre
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informaticaCarlos Ledesma
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgosdaylisyfran
 
Seguridad en centros de computo
Seguridad en centros de computoSeguridad en centros de computo
Seguridad en centros de computoNereydhaa
 
Derecho informatico
Derecho informaticoDerecho informatico
Derecho informaticosalvador cardenas soto
 
Plan de Contingencia Informatico
Plan de Contingencia InformaticoPlan de Contingencia Informatico
Plan de Contingencia InformaticoFernando Alfonso Casas De la Torre
 
Seguridad logica 1
Seguridad logica 1Seguridad logica 1
Seguridad logica 1veronicamacuarisma
 

Recomendados

Contingencia Informatica
Contingencia InformaticaContingencia Informatica
Contingencia InformaticaFernando Alfonso Casas De la Torre
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informaticaCarlos Ledesma
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgosdaylisyfran
 
Seguridad en centros de computo
Seguridad en centros de computoSeguridad en centros de computo
Seguridad en centros de computoNereydhaa
 
Derecho informatico
Derecho informaticoDerecho informatico
Derecho informaticosalvador cardenas soto
 
Plan de Contingencia Informatico
Plan de Contingencia InformaticoPlan de Contingencia Informatico
Plan de Contingencia InformaticoFernando Alfonso Casas De la Torre
 
Seguridad logica 1
Seguridad logica 1Seguridad logica 1
Seguridad logica 1veronicamacuarisma
 
Network Forensics Intro
Network Forensics IntroNetwork Forensics Intro
Network Forensics IntroJake K.
 
Identificación y autenticación de usuarios
Identificación y autenticación de usuariosIdentificación y autenticación de usuarios
Identificación y autenticación de usuariosUriel Hernandez
 
Ciberseguridad
Ciberseguridad Ciberseguridad
Ciberseguridad UNIVERSIDAD PERUANA DE INVESTIGACIÓN Y NEGOCIOS
 
Funciones de los sistemas de informacion
Funciones de los sistemas de informacionFunciones de los sistemas de informacion
Funciones de los sistemas de informacionJatniel Arias
 
SGSI
SGSISGSI
SGSIAlessa Paredes
 
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Eventos Creativos
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la InformaciónJherdy Sotelo Marticorena
 
Legislacion juridica del software en bolivia
Legislacion juridica del software en boliviaLegislacion juridica del software en bolivia
Legislacion juridica del software en boliviamgnunezm
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad LógicaXavier
 
Ciberseguridad en empresas
Ciberseguridad en empresasCiberseguridad en empresas
Ciberseguridad en empresasPedro De La Torre Rodríguez
 
ISO 27000
ISO 27000ISO 27000
ISO 27000indeson12
 
La legislación y normatividad actual relativa a la función informática
La legislación y normatividad actual relativa a la función informáticaLa legislación y normatividad actual relativa a la función informática
La legislación y normatividad actual relativa a la función informáticaliras loca
 
Características de la informática jurídica
Características de la informática jurídica Características de la informática jurídica
Características de la informática jurídica Gabriela Jiménez
 
Infografia gbi
Infografia gbiInfografia gbi
Infografia gbiFredy Pacavita
 
Auditoria en aplicaciones web
Auditoria en aplicaciones webAuditoria en aplicaciones web
Auditoria en aplicaciones webJuan Carlos Pérez Pardo
 
La importancia del manejo de la evidencia digital
La importancia del manejo de la evidencia digitalLa importancia del manejo de la evidencia digital
La importancia del manejo de la evidencia digitalHacking Bolivia
 
Trabajo de investigación final if3100 sistema dolibarr
Trabajo de investigación final if3100 sistema dolibarrTrabajo de investigación final if3100 sistema dolibarr
Trabajo de investigación final if3100 sistema dolibarrRicardo Rojas Montero
 
Diapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaDiapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaPedro Cobarrubias
 
Seguridad Informática - Ensayo
Seguridad Informática - Ensayo Seguridad Informática - Ensayo
Seguridad Informática - Ensayoronaldmartinez11
 
CONTRATOS INFORMATICOS VS. CONTRATOS ELECTRONICOS
CONTRATOS INFORMATICOS VS. CONTRATOS ELECTRONICOSCONTRATOS INFORMATICOS VS. CONTRATOS ELECTRONICOS
CONTRATOS INFORMATICOS VS. CONTRATOS ELECTRONICOSsena
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaJeaneth Calderon
 
Seguridad informatica entorno
Seguridad informatica entornoSeguridad informatica entorno
Seguridad informatica entornojorgetor98
 

Más contenido relacionado

La actualidad más candente

Network Forensics Intro
Network Forensics IntroNetwork Forensics Intro
Network Forensics IntroJake K.
 
Identificación y autenticación de usuarios
Identificación y autenticación de usuariosIdentificación y autenticación de usuarios
Identificación y autenticación de usuariosUriel Hernandez
 
Funciones de los sistemas de informacion
Funciones de los sistemas de informacionFunciones de los sistemas de informacion
Funciones de los sistemas de informacionJatniel Arias
 
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Eventos Creativos
 
Legislacion juridica del software en bolivia
Legislacion juridica del software en boliviaLegislacion juridica del software en bolivia
Legislacion juridica del software en boliviamgnunezm
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad LógicaXavier
 
La legislación y normatividad actual relativa a la función informática
La legislación y normatividad actual relativa a la función informáticaLa legislación y normatividad actual relativa a la función informática
La legislación y normatividad actual relativa a la función informáticaliras loca
 
Características de la informática jurídica
Características de la informática jurídica Características de la informática jurídica
Características de la informática jurídica Gabriela Jiménez
 
La importancia del manejo de la evidencia digital
La importancia del manejo de la evidencia digitalLa importancia del manejo de la evidencia digital
La importancia del manejo de la evidencia digitalHacking Bolivia
 
Trabajo de investigación final if3100 sistema dolibarr
Trabajo de investigación final if3100 sistema dolibarrTrabajo de investigación final if3100 sistema dolibarr
Trabajo de investigación final if3100 sistema dolibarrRicardo Rojas Montero
 
Diapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaDiapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaPedro Cobarrubias
 
Seguridad Informática - Ensayo
Seguridad Informática - Ensayo Seguridad Informática - Ensayo
Seguridad Informática - Ensayoronaldmartinez11
 
CONTRATOS INFORMATICOS VS. CONTRATOS ELECTRONICOS
CONTRATOS INFORMATICOS VS. CONTRATOS ELECTRONICOSCONTRATOS INFORMATICOS VS. CONTRATOS ELECTRONICOS
CONTRATOS INFORMATICOS VS. CONTRATOS ELECTRONICOSsena
 

La actualidad más candente (20)

Network Forensics Intro
Network Forensics IntroNetwork Forensics Intro
Network Forensics Intro
 
Identificación y autenticación de usuarios
Identificación y autenticación de usuariosIdentificación y autenticación de usuarios
Identificación y autenticación de usuarios
 
Ciberseguridad
Ciberseguridad Ciberseguridad
Ciberseguridad
 
Funciones de los sistemas de informacion
Funciones de los sistemas de informacionFunciones de los sistemas de informacion
Funciones de los sistemas de informacion
 
SGSI
SGSISGSI
SGSI
 
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la Información
 
Legislacion juridica del software en bolivia
Legislacion juridica del software en boliviaLegislacion juridica del software en bolivia
Legislacion juridica del software en bolivia
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
 
Ciberseguridad en empresas
Ciberseguridad en empresasCiberseguridad en empresas
Ciberseguridad en empresas
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
 
La legislación y normatividad actual relativa a la función informática
La legislación y normatividad actual relativa a la función informáticaLa legislación y normatividad actual relativa a la función informática
La legislación y normatividad actual relativa a la función informática
 
Características de la informática jurídica
Características de la informática jurídica Características de la informática jurídica
Características de la informática jurídica
 
Infografia gbi
Infografia gbiInfografia gbi
Infografia gbi
 
Auditoria en aplicaciones web
Auditoria en aplicaciones webAuditoria en aplicaciones web
Auditoria en aplicaciones web
 
La importancia del manejo de la evidencia digital
La importancia del manejo de la evidencia digitalLa importancia del manejo de la evidencia digital
La importancia del manejo de la evidencia digital
 
Trabajo de investigación final if3100 sistema dolibarr
Trabajo de investigación final if3100 sistema dolibarrTrabajo de investigación final if3100 sistema dolibarr
Trabajo de investigación final if3100 sistema dolibarr
 
Diapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaDiapositiva sobre seguridad informática
Diapositiva sobre seguridad informática
 
Seguridad Informática - Ensayo
Seguridad Informática - Ensayo Seguridad Informática - Ensayo
Seguridad Informática - Ensayo
 
CONTRATOS INFORMATICOS VS. CONTRATOS ELECTRONICOS
CONTRATOS INFORMATICOS VS. CONTRATOS ELECTRONICOSCONTRATOS INFORMATICOS VS. CONTRATOS ELECTRONICOS
CONTRATOS INFORMATICOS VS. CONTRATOS ELECTRONICOS
 

Similar a ISO 27001 Seguridad Informática

Seguridad informatica entorno
Seguridad informatica entornoSeguridad informatica entorno
Seguridad informatica entornojorgetor98
 
SEGURIDAD INFORMÁTICA UNIVERSIDAD LIBRE CALI
SEGURIDAD INFORMÁTICA UNIVERSIDAD LIBRE CALISEGURIDAD INFORMÁTICA UNIVERSIDAD LIBRE CALI
SEGURIDAD INFORMÁTICA UNIVERSIDAD LIBRE CALIkmilo0516
 
Seguridad informática 2
Seguridad informática 2Seguridad informática 2
Seguridad informática 2Juan Velasco
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica libra-0123
 
POLITICA DE SEGURIDAD INFORMATICA
POLITICA DE SEGURIDAD INFORMATICAPOLITICA DE SEGURIDAD INFORMATICA
POLITICA DE SEGURIDAD INFORMATICAvirgo13
 
Seguridad informatica.
Seguridad informatica.Seguridad informatica.
Seguridad informatica.Ana Quiroz
 
Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)Ana Pino
 
Taller intruduccion a la ingenierian seguridad informatica
Taller intruduccion a la ingenierian seguridad informaticaTaller intruduccion a la ingenierian seguridad informatica
Taller intruduccion a la ingenierian seguridad informaticaEdwar Diaz
 
Taller intruduccion a la ingenierian seguridad informatica
Taller intruduccion a la ingenierian seguridad informaticaTaller intruduccion a la ingenierian seguridad informatica
Taller intruduccion a la ingenierian seguridad informaticaedwardiaz00
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaLuzyrr
 
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓNSEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓNYurlyMilenaJAIMESTOR1
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaremyor09
 
Martinez Nucamendi Abel Alejandro
Martinez Nucamendi Abel AlejandroMartinez Nucamendi Abel Alejandro
Martinez Nucamendi Abel AlejandroMARTINEZ_30
 

Similar a ISO 27001 Seguridad Informática (20)

Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad informatica entorno
Seguridad informatica entornoSeguridad informatica entorno
Seguridad informatica entorno
 
SEGURIDAD INFORMÁTICA UNIVERSIDAD LIBRE CALI
SEGURIDAD INFORMÁTICA UNIVERSIDAD LIBRE CALISEGURIDAD INFORMÁTICA UNIVERSIDAD LIBRE CALI
SEGURIDAD INFORMÁTICA UNIVERSIDAD LIBRE CALI
 
Seguridad informática 2
Seguridad informática 2Seguridad informática 2
Seguridad informática 2
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica
 
POLITICA DE SEGURIDAD INFORMATICA
POLITICA DE SEGURIDAD INFORMATICAPOLITICA DE SEGURIDAD INFORMATICA
POLITICA DE SEGURIDAD INFORMATICA
 
Seguridad informatica.
Seguridad informatica.Seguridad informatica.
Seguridad informatica.
 
Dispositivos de seguridad
Dispositivos de seguridadDispositivos de seguridad
Dispositivos de seguridad
 
Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)
 
Taller intruduccion a la ingenierian seguridad informatica
Taller intruduccion a la ingenierian seguridad informaticaTaller intruduccion a la ingenierian seguridad informatica
Taller intruduccion a la ingenierian seguridad informatica
 
Taller intruduccion a la ingenierian seguridad informatica
Taller intruduccion a la ingenierian seguridad informaticaTaller intruduccion a la ingenierian seguridad informatica
Taller intruduccion a la ingenierian seguridad informatica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓNSEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
 
Presentación1
Presentación1Presentación1
Presentación1
 
profesor ya lo hice
profesor ya lo hiceprofesor ya lo hice
profesor ya lo hice
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Segu
SeguSegu
Segu
 
Segu
SeguSegu
Segu
 
Martinez Nucamendi Abel Alejandro
Martinez Nucamendi Abel AlejandroMartinez Nucamendi Abel Alejandro
Martinez Nucamendi Abel Alejandro
 

Último

International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 

Último (13)

International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 

ISO 27001 Seguridad Informática

  • 1. SEGURIDAD INFORMÁTICA Y NORMA ISO 27001 PRESENTADO POR: Billy Anderson Varón Moreno PARA : NESTOR PINZON
  • 2. Introducción La seguridad, protección de los equipos conectados en red y de los datos que almacenan y comparten, es un hecho muy importante en la interconexión de equipos. Cuanto más grande sea una empresa, más importante será la necesidad de seguridad en la red. Nuestro interés va más allá del hecho de los procedimientos para compartir. En realidad se ve compartir recursos desde la perspectiva de establecer y mantener la seguridad en la red y en los datos. La seguridad es bastante más que evitar accesos no autorizados a los equipos y a sus datos. Incluye el mantenimiento del entorno físico apropiado que permita un funcionamiento correcto de la red.
  • 3. Seguridad Informática La necesidad de la seguridad informática En la actualidad la información es el objeto de mayor valor para las empresas. El progreso de la informática y de las redes de comunicación nos presenta un nuevo escenario, donde los objetos del mundo real están representados por bits y bytes, que ocupan lugar en otra dimensión y poseen formas diferentes de las originales, no dejando de tener el mismo valor que sus objetos reales, y, en muchos casos, llegando a tener un valor superior.
  • 4. Seguridad Informática Por esto y otros motivos, la seguridad de la información es un asunto tan importante para todos, pues afecta directamente a los negocios de una empresa o de un individuo. La seguridad de la información tiene como propósito proteger la información registrada, independientemente del lugar en que se localice: Impresos en papel, Discos duros de las computadoras o incluso en la memoria de las personas que la conocen.
  • 5. Seguridad Informática  Funciones y Responsabilidades de la Seguridad Informática … una de las preocupaciones de la seguridad de la información es proteger los elementos que forman parte de la comunicación. Así, para empezar, es necesario identificar los elementos que la seguridad de la información busca proteger:  La información  Los equipos que la soportan  Las personas que la utilizan
  • 6. Seguridad Informática  Responsabilidades en el manejo de la información En la actualidad, la seguridad informática ha adquirido gran auge, dadas las cambiantes condiciones y las nuevas plataformas de computación disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes que permiten explorar más allá de las fronteras de la organización. Esta situación ha llevado a la aparición de nuevas amenazas en los sistemas computarizados.
  • 7. Seguridad Informática Consecuentemente, muchas organizaciones gubernamentales y no gubernamentales internacionales han desarrollado documentos y directrices que orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones con el objeto de obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la mismas. Esto puede ocasionar serios problemas en los bienes y servicios de las empresas en el mundo.
  • 8. Seguridad Informática  Atributos y clasificación de la información Proteger la información significa mantenerla segura contra amenazas que puedan afectar su funcionalidad:  Corrompiéndola,  Accediéndola indebidamente, o incluso  Eliminándola o hurtándola.
  • 9. Seguridad Informática En un reciente estudio de Datapro Research Corp. se resumía que los problemas de seguridad en sistemas basados en redes responde a la siguiente distribución:  Errores de los empleados 50%  Empleados deshonestos 15%  Empleados descuidados 15%  Otros 20% (Intrusos ajenos a la Empresa 10%; Integridad física de instalaciones 10% )
  • 10. Seguridad Informática Se puede notar que el 80% de los problemas, son generados por los empleados de la organización, y, éstos se podrían tipificar en tres grandes grupos:  Problemas por ignorancia  Problemas por haraganería  Problemas por malicia Entre estas razones, la ignorancia es la más fácil de corregir. Desarrollando tácticas de entrenamiento y procedimientos formales e informales son fácilmente neutralizadas. Los usuarios, además, necesitan de tiempo en tiempo, que se les recuerden cosas que ellos deberían conocer.
  • 11. Seguridad Informática La forma de instrumentar la confidencialidad de la información es a través del establecimiento del grado de sigilo: Grado de sigilo: La información generada por las personas tiene un fin específico y se destina a un individuo o grupo. Por lo tanto, la información necesita una clasificación en lo que se refiere a su confidencialidad. Es lo que denominamos grado de sigilo, que es una graduación atribuida a cada tipo de información, con base en el grupo de usuarios que poseen permisos de acceso.
  • 12. Seguridad Informática Dependiendo del tipo de información y del público para el cual se desea colocar a disposición los grados de sigilo podrán ser:  Confidencial  Secreto  Restrictivo  Sigiloso  Público
  • 13. Seguridad Informática  Conceptos básicos de la seguridad informática Confidencialidad Integridad Autenticidad No Repudio Disponibilidad de los recursos y de la información Consistencia Control de Acceso Auditoria
  • 14. Seguridad Informática  Confidencialidad Consiste en proteger la información contra la lectura no autorizada explícitamente. Incluye no sólo la protección de la información en su totalidad, sino también las piezas individuales que pueden ser utilizadas para inferir otros elementos de información confidencial.
  • 15. Seguridad Informática  Que la información sea accesible solamente a las entidades que tienen derecho a ella, tanto para leerla, imprimirla, desplegarla o para cualquier otra forma de divulgación de la misma.  Transformar la información de tal forma que solo sea entendible o utilizable por aquellas entidades para las que fue creada.
  • 16. Seguridad Informática  Integridad Es necesario proteger la información contra la modificación sin el permiso del dueño. La información a ser protegida incluye no sólo la que está almacenada directamente en los sistemas de cómputo sino que también se deben considerar elementos menos obvios como respaldos, documentación, registros de contabilidad del sistema, tránsito en una red, etc. Esto comprende cualquier tipo de modificaciones:
  • 17. Seguridad Informática  Que la información no sea destruida y/o modificada, mas que por los usuarios y mecanismos autorizados para ello.  La información no debe modificarse o destruirse ni en los sistemas de procesamiento ni al ser transmitida por algún medio de comunicación.
  • 18. Seguridad Informática Esto comprende cualquier tipo de modificaciones:  Causadas por errores de hardware y/o software.  Causadas de forma intencional.  Causadas de forma accidental Cuando se trabaja con una red, se debe comprobar que los datos no fueron modificados durante su transferencia.
  • 19. Seguridad Informática  Autenticidad La autenticidad garantiza que quien dice ser "X" es realmente "X". Es decir, se deben implementar mecanismos para verificar quién está enviando la información. Que el origen de la información sea correctamente identificado, asegurando que la identidad no es falsa.
  • 20. Seguridad Informática  Los usuarios deben de poder probar que realmente son quien dicen ser….  Tipos de autenticación:  Por factores:  De un factor: Algo que yo se.  De dos factores: Algo que yo se y algo que yo tengo.  De tres factores: Algo que yo se, algo que yo tengo y algo que yo soy *.  *Algo que yo hago
  • 21. Seguridad Informática  No – repudio Ni el origen ni el destino en un mensaje deben poder negar la transmisión. Quien envía el mensaje puede probar que, en efecto, el mensaje fue enviado y viceversa.
  • 22. Seguridad Informática Que las parte involucradas en un proceso de intercambio de información puedan probar la participación de su contraparte de forma inequívoca, así como puedan probar su propia participación en dicho intercambio. Tener los medios para probarle a alguien que hizo algo dentro de un sistema o con cierta información.
  • 23. Seguridad Informática  Disponibilidad de los recursos y de la información De nada sirve la información si se encuentra intacta en el sistema pero los usuarios no pueden acceder a ella. Por tanto, se deben proteger los servicios de cómputo de manera que no se degraden o dejen de estar disponibles a los usuarios de forma no autorizada. La disponibilidad también se entiende como la capacidad de un sistema para recuperarse rápidamente en caso de algún problema.
  • 24. Seguridad Informática Que se garantice la disponibilidad de los recursos informáticos cuando se requieran y por consecuencia de la información contenida en estos recursos. La información debe estar disponible siempre, de acuerdo a las reglas establecidas de antemano para su uso.
  • 25. Seguridad Informática  Consistencia Se trata de asegurar que el sistema siempre se comporte de la forma esperada, de tal manera que los usuarios no encuentren variantes inesperadas.
  • 26. Seguridad Informática  Control de acceso a los recursos Consiste en controlar quién utiliza el sistema o cualquiera de los recursos que ofrece y cómo lo hace. Tipos de control de acceso:  Discrecional (DAC): la validez del método de autenticación esta a discreción del usuario.  Mandatorio (MAC): se validan aspectos sobre los cuales el usuario no tiene control.
  • 27. Seguridad Informática  Autorización Que un usuario tenga acceso solamente a la información que le corresponde una vez que tiene acceso aun sistema o a una red de sistemas de acuerdo a sus privilegios y restricciones.
  • 28. Seguridad Informática  Auditoria Consiste en contar con los mecanismos para poder determinar qué es lo que sucede en el sistema, qué es lo que hace cada uno de los usuarios y los tiempos y fechas de dichas acciones. En cuanto a los dos últimos puntos resulta de extrema importancia, cuando se trata de los derechos de los usuarios, diferenciar entre “espiar” y “monitorear” a los mismos. La ética es algo que todo buen administrador debe conocer y poseer.
  • 29. Seguridad Informática  Finalmente, todos estos servicios de seguridad deben ser tomados en cuenta en el momento de elaborar las políticas y procedimientos de una organización para evitar pasar por alto cuestiones importantes como las que señalan dichos servicios.  De esta manera, es posible sentar de forma concreta y clara los derechos y límites de usuarios y administradores.  Sin embargo antes de realizar cualquier acción para lograr garantizar estos servicios, es necesario asegurarnos de que los usuarios conozcan sus derechos y obligaciones.
  • 30. Seguridad en redes  Implantación de la seguridad en redes  La planificación de la seguridad es un elemento importante en el diseño de una red.  Es mucho más sencillo implementar una red segura a partir de un plan, que recuperar los datos perdidos.
  • 31. Introducción a la criptografía  Criptografía: Ciencia que se dedica a mantener las comunicaciones seguras.  Criptoanálisis: ciencia y arte que analiza la forma de romper los algoritmos criptográficos.
  • 32. Introducción a la criptografía  Cifrado: transformación de datos en alguna forma que los hace ilegibles si no se cuenta con la “llave”.  Criptología: Rama de las matemáticas que incluye a la criptografía y al criptoanálisis.
  • 33. Terminología  Texto claro: Datos, información legible.  Texto cifrado (Ciphertext): Datos que han sido cifrados.
  • 34. Terminología  Decripción: Proceso que convierte el texto cifrado en texto claro.  Algoritmo criptográfico (Cipher): función matemática utilizada para cifrar y descifrar información.
  • 35. Cifrado Simétrico  La llave de cifrado y la de descifrado son iguales o la llave de descifrado se puede derivar de la de cifrado.  Conocidos como algoritmos de llave secreta o privada.  El emisor y el receptor comparten la misma llave.  Ejemplos: DES, 3DES, RC2, RC5, IDEA, Skipjack.
  • 36. El problema de la distribución de llaves  ¿Como asegurar que la llave es distribuida de forma segura a todos los participantes en una comunicación?.  Para n usuarios se requieren n(n-1)/2 llaves diferentes.  Si se compromete la llave, toda la comunicación está en peligro.
  • 37. Cifrado asimétrico  La llave utilizada para cifrar el mensaje es diferente a la utilizada para descifrarlo.  Conocidos como de llave pública.  Ambas llaves están matemáticamente relacionadas.  Su seguridad radica en la dificultad para obtener una llave a partir de la otra.  Están basados en problemas matemáticos complejos: Factorización de números grandes primos, Logaritmos discretos, Curvas elípticas.
  • 38. Algoritmos asimétricos y la distribución de las llaves  Se genera un par de llaves.  Una se mantiene de forma privada.  La otra se hace del conocimiento de todos.  Alguien que quiera mandar un mensaje al dueño de las llaves la cifra con la llave pública, y el dueño de las llaves la descifra con la llave privada.
  • 39. Autenticación con cifrado asimétrico  Si cifro con mi llave privada, cualquiera puede descifrar el mensaje con mi llave pública y así pueden estar seguros de que fui yo quien mandó el mensaje.  Este es el principio de las firmas digitales.
  • 40. Tipos de Algoritmos de cifrado 40  Por el tipo de llave:  Simétricos. Se utiliza la misma llave para cifrar y descifrar (llave privada)  Asimétricos. Se utilizan llaves diferentes para cifrar y descifrar (llave pública)
  • 41. Tipos de Algoritmos de cifrado 41
  • 42. Encripción Privada 42  Bases:  Utiliza la misma llave para cifrado y descifrado  Se basa en una llave secreta  Ventajas  Sencillo y Rápido  Desventajas  Se basa en un secreto  Ejemplos  DES, Lucifer, RC4
  • 43. El nacimiento de DES 43  En 1972, el gobierno de EUA empezó un esfuerzo para el desarrollo de un estándar de cifrado que tuviera las siguientes características:  Alto nivel de seguridad  Completamente especificado y fácil de entender  La seguridad del algoritmo no debe de basarse en la confidencialidad del algoritmo.  Debe estar disponible para cualquier usuario  Debe de poderse usar en diversas aplicaciones  Debe de ser barato  Debe de ser validable  Debe de ser exportable
  • 44. DES 44  Digital Encryption Standard  Esfuerzo coordinado por NBS y NSA en EUA  National Bureau of Standards  National Security Agency  Basado en Lucifer desarrollado por IBM  Lucifer usaba llaves de 128 bits  Se creo DES con llaves de 56 bits  Se aprobó por el departamento de comercio de EUA en 1976 y se público  Basado en operaciones manipulación de bits
  • 45. DES y su evolución 45  Ha estado en uso por más de 20 años  Se puede romper pero toma tiempo  EUA solo permite la exportación de DES con llaves de 40 bits, las cuales se pueden romper facilmente  Ahora está en proceso la aprobación para exportación de DES 56.  Tripple DES  Nace RC4, que es más eficiente
  • 46. DES y su evolución 46  Conventional Encryption
  • 47. DES y su evolución 47  Tripple DES
  • 48. Cifrado Pública 48  Bases:  Utiliza distintas llaves para cifrar y descifrar  Se basa en factorización de números primos muy grandes  Ventajas  Altamente seguro  Desventajas  Es más lento, la distribución de llaves no es trivial  Ejemplos  RSA, Diffie-Hellman
  • 50. RSA  Inventado por Ron Rivest, Adi Shamir y Leonard Adleman en 1977.  Basado en la factorización de números primos muy grandes.  En Hardware RSA es 1000 veces más lento que DES y en software 100 veces más lento.  Estándar de-facto para cifrado de llave pública.  La patente (E. U.) expira el 20 de Septiembre de 2000.
  • 51. Algoritmo de RSA 51  Se escogen 2 números primos (p y q) muy grandes n=pq  Se escoge una llave de cifrado de forma tal que e y (p-1) (q-1) son relativamente primos ed = 1 mod (p-1)(q-1) d=e^-1 mod ((p-1)(q-1))  De esta forma e y n son la llave pública, d es la llave privada, p y q solo se necesitan para la generación de llaves
  • 52. Llaves públicas 52  El problema: Creación y distribución de llave  ¿Quién las crea?  ¿Cómo sabes si la persona correcta las creo?  Si yo te envío mi llave pública a través de correo electrónico, ¿estas seguro de que fui yo?
  • 53. Creación y Distribución de llaves 53  Autoridad certificadora  Puntos de confianza  Verisign en EUA  ¿y en México?  Banco de México  Bancos  Notarias  ¿Quién?
  • 54. Intercambio de llaves privadas 54  Llaves de sesión  Utilizamos Diffie-Hellman  Algoritmo de criptografía  Criptografía pública  Creado por Diffie y Hellman  1976  Sencillo
  • 55. Diffie - Hellman  Usuario A  Selecciona un entero grande x, y le manda a B esto: X = g^x mod n  A calcula:  k = Y^x mod n  Usuario B  Selecciona un entero grande y y lo manda a A esto: Y = g^y mod n  B calcula:  k’ = X^y mod n 55 Ambas k y k’ son igual a g^(xy) mod n. Nadie en medio de la comunicación puede calcular ese valor. k es la llave secreta o de sesión que ambas partes usan Ambos A y B, acuerdan en dos números primos grandes n y g. Estos números son secretos.
  • 56. Herramientas de Seguridad.  Firewalls.  Single Sign On.  Detección de Intrusión.  PKI.  SSL.  SET.
  • 57. Criptosistemas Híbridos  Los algoritmos asimétricos son lentos en comparación con los simétricos.  Los algoritmos simétricos son vulnerables a ataques de “texto claro elegido”.  Las implementaciones prácticas utilizan algoritmos de llave publica para distribuir y proteger las llaves y algoritmos de llave simétrica para asegurar (cifrar) el tráfico de los mensajes.
  • 58. Niveles de Ataque  Sólo texto cifrado El atacante posee uno o más textos cifrados  Texto claro conocido El atacante posee uno o más textos cifrados y sus textos claros  Texto claro elegido El atacante puede elegir textos claros y conocer sus textos cifrados  Texto cifrado elegido El atacante puede elegir textos cifrados y conocer sus textos claros
  • 59. Algoritmos seguros de “Hash”  También conocidos como:  Digest de mensajes  Checksum criptográfico  Huella digital del mensaje  Checksum para integridad del mensaje.  Propiedades:  Es fácil generar un hash a partir de un mensaje.  Es difícil determinar el mensaje en base a un hash determinado.  Es difícil obtener el mismo hash de dos mensajes diferentes.  Algoritmos populares de hash: MD5, SHA.
  • 60. Firmas Digitales  Generación:  Se procesa el mensaje con una función de Hash para generar una digestión del mensaje.  Se cifra (firma) el mensaje con la llave pública.  Se envía el mensaje firmado (mensaje y firma juntos).  Obtención del mensaje:
  • 61. Firmas Digitales  El más popular: DSA (Digital Signature Algorithm.  Utiliza SHA (Secure Hash Algoritm), parte del estándar DSS (Digital Signature Standar), llaves desde 512 hasta 1024 bits, estándar federal 1994.  Problemas:  No sirve para distribución de llaves.  El NSA le pudo haber puesto un “trap door”.  Llaves demasiado pequeñas.  Más lento que RSA.
  • 62. Requerimiento Base de Datos Sistema Operativo Red Confidencialidad Si Si Autentificación Si Si Integridad Si No-repudiación Si Si Control de Acceso Si Si Si Autorización Si Disponibilidad Si Si Requerimientos de Seguridad
  • 63. Implementación Requerimiento Implementado mediante Confidencialidad SSL y contraseña de acceso Autentificación Contraseña de acceso Integridad Permisos en la base de datos No-repudiación Bitacoras de acceso Control de Acceso Políticas de seguridad Autorización Permisos en la base de datos Disponibilidad SSL e implementación en Web
  • 64. Implementación “Segura” Requerimiento Implemención mediante Confidencialidad SSL y contraseña de acceso Autentificación Certificados digitales Integridad Permisos en la base de datos. No-repudiación Firma y certificado digital Control de Acceso Certificados digitales y políticas de seguridad Autorización Permisos en la base de datos Disponibilidad VPN y enlaces punto a punto
  • 65. Ejemplo de Aplicación de Web normal Internet ISP Bienvenido WEB SERVER Servidor de Web Seguro FW Información
  • 66. Solicitud de certificación del servidor Internet ISP WEB SERVER Solicitud de certificación Autoridad Certificadora.
  • 67. Solicitud de certificación del cliente Internet ISP CLIENTE Solicitud de certificación Autoridad Certificadora.
  • 68. Ejemplo de aplicación con llave pública Internet ISP WEB SERVER FW Información ¿Quien es? Yo soy X Bienvenido X Solicitud servicio Autoridad Certificadora.
  • 69. Aplicaciones de los esquemas de llave pública.  SSL (Secure Socket Layer).  SET (Secure Electronic Transactions).  Se les conoce como Infraestructuras de Llave Pública.
  • 70. Componentes de una Infraestructura de Llave Pública.  Autoridad Certificadora.  Autoridad Registradora.  Esquema de cifrado.  Certificados digitales.  Uno o dos pares de llaves (uno para cada participante en la comunicación).
  • 71. SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION Y NORMA ISO 27001 Normas Técnicas: BS 7799-2:2002 (Certificable). ISO 17799:2005 (No Certificable). ISO 27001:2005 (Certificable).
  • 72.
  • 73. ANTECEDENTES ¿ Qué es una Norma ?  Una norma es una especificación técnica  Elaborada con participación de todos los sectores involucrados  Aprobada por consenso  Su objetivo es el beneficio a la comunidad  Está a disposición de todos los interesados  Es elaborada y publicada por un organismo de normalización reconocido
  • 74. ANTECEDENTES Department of Trade & Industry Ministerio de Comercio y de la industria del Reino Unido. Es el administrador del comercio, negocios, empleados, consumidores, ciencia, energía en el Reino Unido y está trabajando para crear las condiciones de éxito en los negocios del Reino Unido en el desafío de la globalización. www.dti.gov.uk
  • 75. ANTECEDENTES British Standard Institution Fundada en 1901 como el comité de estándares de la ingeniería. Los estándares británicos del bsi son el cuerpo nacional de los estándares del reino unido, con una reputación global reconocida para la independencia, la integridad y la innovación en la producción de los estándares que promueven la mejor práctica. Desarrolla y vende estándares y soluciones de la estandardización para resolver las necesidades del negocio y de la sociedad. • Certifica sistemas y productos de gerencia • Proporciona servicios de la comprobación del producto • Desarrolla estándares privados, nacionales e internacionales • Proporciona el entrenamiento en estándares • Proporciona soluciones de software www.bsi-global.com
  • 76. ANTECEDENTES Organización Internacional para la Estandarización Organización internacional no gubernamental, compuesta por representantes de los organismos de normalización (ONs) nacionales, que produce normas internacionales industriales y comerciales (normas ISO ). Su finalidad es la coordinación de las normas nacionales, en consonancia con el Acta Final de la Organización Mundial del Comercio, con el propósito de facilitar el comercio, el intercambio de información y contribuir con unos estándares comunes para el desarrollo y transferencia de tecnologías.
  • 77. ¿Qué es ISO 27000? Es una familia de estándares internacionales para Sistemas de Gestión de la Seguridad de la Información (SGSI).  Requisitos para la especificación de sistemas de gestión de la seguridad de la información  Proceso del análisis y gestión del riesgo  Métricas y medidas de protección  Guías de implantación  Vocabulario claramente definido para evitar distintas interpretaciones de conceptos técnicos y de gestión y mejora continua.
  • 78. La Familia Norma ISO 27000 (1)  ISO 27000 En fase de desarrollo. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión.  ISO 27001 Es la norma principal de requerimientos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual serán certificados por auditores externos los SGSI de las organizaciones. Fue publicada el 15 de Octubre de 2005 y sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última.  ISO 27002 (ISO 17799) Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Será la sustituta de la ISO17799:2005.
  • 79. La Familia ISO 27000 (2)  ISO 27003 Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2.  ISO 27004 Especificará las métricas y las técnicas de medida aplicables para determinar la eficiencia y efectividad de la implantación de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.  ISO 27005 Consistirá en una guía para la gestión del riesgo de la seguridad de la información y servirá, por tanto, de apoyo a la ISO27001 y a la implantación de un SGSI. Se basará en la BS7799-3 (publicada en Marzo de 2006) y, probablemente, en ISO 13335.  ISO 27006 Especificará el proceso de acreditación de entidades de certificación y el registro de SGSIs.
  • 80. Evolución de la Norma ISO/IEC 27001 Video
  • 81. Sistema de Gestión de la Seguridad de la Información Norma ISO/IEC 27001 Es la norma que define los requisitos para establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) documentado dentro del contexto de los riesgos del negocio. S G S I
  • 82. Norma ISO/IEC 27001 Esta norma la pueden usar para:  Evaluar la capacidad de una organización (requisitos).  Aplicación de un sistema de procesos dentro de la organización.  Comprender los requisitos de la seguridad de la información.  Implementar y operar controles en la gestión del riesgo.  Administración del SGSI.  Mejora continua basada en la medición de objetivos. Esta norma puede ser aplicada a todas las organizaciones, independientemente de su tipo, tamaño y naturaleza.
  • 83. Norma ISO/IEC 27001 ¿Qué es un SGSI? ISMS - Information Security Management System. Un sistema de gestión de la seguridad de la información (SGSI) es una forma sistemática de abordar la gestión de la información empresarial para protegerla. Atañe a las personas, los procesos y los sistemas informáticos. Es un proceso documentado y conocido por toda la organización para garantizar que la seguridad de la información es gestionada correctamente. (ISO 9001). La seguridad de la información consiste en preservar:  Confidencialidad: acceso únicamente por autorizados.  Integridad: exactitud y completitud.  Disponibilidad: acceso de los usuarios autorizados cuando lo requieran.  Los sistemas implicados en el tratamiento de la información. Información: escrita, diagramas, electrónica, imágenes o incluso oral.
  • 84. ¿Para qué sirve un SGSI? Conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante un sistema definido, documentado y conocido por todos, que se revisa y actualiza constantemente.
  • 85. ¿Para qué sirve un SGSI? Captura de PC desde el exterior Violación de e-mails Violación de contraseñas Interrupción de los servicios Intercepción y modificación de e-mails Virus Fraudes informáticos Incumplimiento de leyes y regulaciones Robo o extravío de notebooks empleados deshonestos Robo de información Destrucción de soportes documentales Acceso clandestino a redes Intercepción de comunicaciones Destrucción de equipamiento Programas “bomba” Acceso indebido a documentos impresos Software ilegal Agujeros de seguridad de redes conectadas Falsificación de información para terceros Indisponibilidad de información clave Spamming Violación de la privacidad de los empleados Ingeniería social Principales riesgos Propiedad de la Información Mails “anónimos” con información crítica o con agresiones
  • 86. CONTENIDO DE LA NORMA 1. Objeto 2. Referencias Normativas 3. Términos y Definiciones 4. Sistema de Gestión de la Seguridad de la Información 5. Responsabilidad de la Dirección 6. Revisión del SGSI por la Dirección 7. Mejora del SGSI. Anexo A Objetivos de Control y Controles. Anexo B Guía para el uso de la Norma. Anexo C Correspondencia entre ISO9001 - ISO14001 – BS7799-2. Norma ISO/IEC 27001
  • 87. 4. Sistema de Gestión de la Seguridad de la Información EL MODELO PDCA – PHVA aplicado al SGSI 1. Plan (planificar): establecer el SGSI. 2. Do (hacer): implementar y utilizar el SGSI. 3. Check (verificar): monitorizar y revisar el SGSI. 4. Act (actuar): mantener y mejorar el SGSI. RC Resumen de Controles - DA Declaración de Aplicabilidad Requisitos de Seguridad de la Información Resultados de la Seguridad de la Información
  • 88. 4.1. REQUISITOS GENERALES La organización debe: Desarrollar, implementar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) documentado dentro del contexto de los riesgos del negocio.
  • 89. FLUJOGRAMA PARA EL ESTABLECIMIENTO DE UN SGSI
  • 90. 4.2.1. ESTABLECIMIENTO Y GESTIÓN DEL SGSI
  • 91. 4.2.1. ESTABLECIMIENTO Y GESTIÓN DEL SGSI (1)
  • 92. 4.2.1. ESTABLECIMIENTO Y GESTIÓN DEL SGSI (2)
  • 93. 4.2.1. ESTABLECIMIENTO Y GESTIÓN DEL SGSI (3)
  • 94. 4.2.1. ESTABLECIMIENTO Y GESTIÓN DEL SGSI (4)
  • 95. EJEMPLO DE POLITICA DE SEGURIDAD (1) Numeral de la NTC-ISO/IEC 17799 A.3.1 Política de seguridad de la información , 3.1 Objetivo de control: brindar orientación y apoyo de la dirección para la seguridad de la información. .Contro/es A.3.1.1 Documento de la política de La Dirección debe aprobar, publicar y 3.1.1 seguridad de la información. comunicar a todos los empleados, en la forma adecuada, un documento de política de sequridad de la información. A.3.1.2 Revisión y evaluación. Se debe revisar regularmente la política, y 3.1.2 en caso de cambios que tengan influencia, se debe asegurar que ésta sigue siendo apropiada. A.3 POLÍTICA DE SEGURIDAD
  • 96. 4.2.2 IMPLEMENTACIÓN Y OPERACIÓN DEL SGSI Anexo A
  • 97. 4.2.2 IMPLEMENTACIÓN Y OPERACIÓN DEL SGSI (1)
  • 98. 4.2.2 IMPLEMENTACIÓN Y OPERACIÓN DEL SGSI (2)
  • 99. 4.2.3. SEGUIMIENTO Y REVISIÓN DEL SGSI
  • 100. 4.2.3. SEGUIMIENTO Y REVISIÓN DEL SGSI (1)
  • 101. 4.2.3. SEGUIMIENTO Y REVISIÓN DEL SGSI (2)
  • 102. 4.2.4. MANTENER Y MEJORAR EL SGSI
  • 103. 4.2.4. MANTENER Y MEJORAR EL SGSI (1)
  • 107. RESPONSABILIDAD DE LA DIRECCION (1)
  • 108. RESPONSABILIDAD DE LA DIRECCION (2)
  • 110. MONITOREO DEL SGSI POR LA DIRECCION (1)
  • 111. MONITOREO DEL SGSI POR LA DIRECCION (2)
  • 113. OBJETIVOS DE CONTROL Y CONTROLES Anexo Nº 1
  • 115. OBJETIVOS DE CONTROL Y CONTROLES
  • 116. CONTROLES DE CADA OBJETIVO DE CONTROL (1)
  • 117. CONTROLES DE CADA OBJETIVO DE CONTROL (2)
  • 118. CONTROLES DE CADA OBJETIVO DE CONTROL (3)
  • 119. CONTROLES DE CADA OBJETIVO DE CONTROL (4)
  • 120. CONTROLES DE CADA OBJETIVO DE CONTROL (5)
  • 121. CONTROLES DE CADA OBJETIVO DE CONTROL (6)
  • 122. CONTROLES DE CADA OBJETIVO DE CONTROL (7)
  • 123. CONTROLES DE CADA OBJETIVO DE CONTROL (8)
  • 124. CONTROLES DE CADA OBJETIVO DE CONTROL (9)